SAS LatAm: Operação Machete espiona governos da América Latina

CARTAGENA – A Kaspersky Lab anunciou nesta terça a descoberta de uma campanha de espionagem cibernética ativa na América Latina. Apelidada de “Machete”, ela tem feito vítimas como governos, militares, embaixadas

CARTAGENA – A Kaspersky Lab anunciou nesta terça a descoberta de uma campanha de espionagem cibernética ativa na América Latina. Apelidada de “Machete”, ela tem feito vítimas como governos, militares, embaixadas e órgãos governamentais há, pelo menos, quatro anos.

A maioria dos quase 780 alvos está na Venezuela (42%), Equador (36%) e Colômbia (11%) – mas há outros países afetados, incluindo Rússia, Peru, Cuba e Espanha. O objetivo dos espiões é seqüestrar informações sensíveis, como documentos militares e diplomáticos, das organizações comprometidas – até agora eles conseguiram gigabytes de dados confidenciais – talvez até mais, diz Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise Global da Kaspersky Lab na América Latina. O expert começou a investigar a operação ao analisar um arquivo suspeito no notebook de um general, a pedido deste, de um dos países afetados.

Dmitry apresenta a operação Machete

Dmitry apresenta a operação Machete durante a conferência de analistas de segurança da empresa

“Apesar da simplicidade das ferramentas utilizadas nesta campanha, ela foi muito eficaz, dado os resultados. Parece que os autores de ameaças na América Latina estão adotando as técnicas de campanhas semelhantes em nível global.”, afirma. “Nossa previsão é que o nível tecnológico das operações de ciberespionagem locais aumente muito.  Por isso, provavelmente, novas campanhas do tipo podem ser muito semelhantes, do ponto de vista técnico, às principais no mundo”, diz.

A descoberta da Machete confirma previsões feitas no ano passado pela equipe da Kaspersky Lab de que a América Latina também seria atingida pela recente onda de operações de ciberespionagem de governos contra governos, com outras descobertas pela companhia.

MALWARE COMPLETO
Dmitry conta que a operação Machete começou em 2010 e passou por melhorias em 2012. Os atacantes usaram técnicas de engenharia social para distribuir o malware. Em alguns casos, enviaram mensagens de phishing oferecendo apresentações pornográficas (entre outras) combinadas com blogs falsos especialmente contaminados com o malware. No momento, não há indicações de exploits usando vulnerabilidades 0-day (falhas em software ainda desconhecidas). A parte técnica da campanha (como ferramentas de ciberespionagem e código) têm baixa sofisticação técnica em comparação com campanhas do tipo.

Analisando o código do malware, Dmitry afirma que os criadores da Machete têm origem na América Latina, mas não é possível precisar de que país. O interesse deles por documentos diplomáticos fez com que até uma embaixada na Rússia fosse alvo da operação.

O malware utilizado na Machete é bastante completo. Ele é capaz de executar várias funções, como copiar arquivos para um servidor remoto ou um dispositivo USB especial, sequestrar o conteúdo da área de transferência, registrar a digitação, capturar o áudio no microfone do computador, tirar screenshots, obter dados de geolocalização e fazer fotos com a webcam da máquina.

As ferramentas não mostram sinais de serem multi-plataforma, pois o código é fortemente focado no Windows. No entanto, os especialistas descobriram pistas mostrando que os atacantes preparam a infra-estrutura para vítimas que usam sistemas OSX e Unix. Também foram encontrados sinais de componentes móveis para Android.

Os produtos da Kaspersky Lab identificam e protegem contra este ataque direcionado.

Dicas